S rostoucím počtem aplikací neustále rostou i nároky na správu IT systémů. Počet žádostí, které přijímá helpdesk a souvisejí se správou přístupových oprávnění mnohdy tvoří více než 50% všech evidovaných žádostí. Administrátoři systémů a aplikací jsou zahlceni provozem systému a nestíhají zpracovávat požadavky na správu přístupových oprávnění. Doba realizace požadavku se tak velmi často protáhne až na několik dnů a uživatele to omezuje v práci.
V případě nástupu nového pracovníka trvá nejprve několik dní založení základních přístupů a teprve následně je možné žádat o přístupy požadované k jeho pracovnímu zařazení. Celková doba pro vytvoření všech potřebných účtů a oprávnění tak snadno překročí i týden a nový pracovník nemůže vykonávat požadované činnosti. Obdobná situace je i při odchodech zaměstnanců, kdy je naopak možnost přístupu k systémům a datům nežádoucí a je nutné pro ukončení pracovního poměru zablokovat nebo odebrat všechny povolené přístupy.
A právě Identity management řeší tuto problematiku automatizací uvedených procesů. Pro většinu systémů je možné operaci vytvoření i zrušení účtu plně automatizovat, a tak zkrátit čas na vytvoření potřebných přístupů na minimum. Typicky se odezvy na požadavky realizované prostřednictvím IdM počítají řádově v minutách. Ještě vyšší efektivity lze dosáhnout automatizovaným napojením na personální systém, kdy lze operaci vytvoření základních přístupů zcela automatizovat a pracovník má již při prvním příchodu na pracoviště zřízeny vybrané přístupy. Stejný princip je využíván i pro rušení přístupů v případě plánovaného odchodu. Veškeré přístupy jsou pak blokovány automaticky v den ukončení pracovního poměru. Automatizace těchto procesů lze s výhodou použít i pro podporu procesů spojených s fluktuací zaměstnanců. Jsou-li nadefinována přístupová oprávnění vztažená k pracovním pozicím nebo organizačnímu zařazení, lze jednoduše zajistit přiřazení identických oprávnění pro nově příchozí pracovníky na stejnou pracovní pozici. Stejně tak lze jednoduše podpořit i organizační změny.
Do stejné kategorie patří i žádosti o změnu hesla. Tento požadavek pravděpodobně patří v helpdeskových systémech k nejfrekventovanějším. Uvedené požadavky se však odlišují od běžné zprávy přístupových oprávnění jejich časovou naléhavostí. Identity Management nástroje nabízí rychlé a pohodlné řešení této problematiky a poskytují nástroje pro změnu hesel do všech systémů z jednoho místa přímo pro koncové uživatele. Dochází tak ke značným časovým úsporám, kdy uživatel pro pravidelné změny hesel nemusí postupně měnit hesla na jednotlivých systémech.
Vyřizování požadavků souvisejících se správou přístupových oprávnění často znesnadňují i komunikační bariéry. Uživatel popisuje své požadavky laicky a administrátor ne vždy dokáže zadání správně porozumět. Vznikají tak situace, kdy je požadavek možné vyřídit až po vzájemném vyjasnění o co vlastně uživatel žádá. To neúměrně prodlužuje dobu jeho splnění nebo případně vede k chybám, kdy je požadavek splněn jinak, než si uživatel představoval. Uživatel je však také v obtížné situaci, aby dokázal s IT správně komunikovat, musel by se umět přizpůsobit komunikačním zvyklostem administrátorů a zcela přesně specifikovat požadavky. To by vyžadovalo neustálé doškolování, aby uživatel dokázal reagovat na všechny změny v dynamickém prostředí IT.
Identity Management zavádí jednotné a intuitivní prostředí pro správu přístupových oprávnění, nezávislé na typu spravovaného systémů. Uživateli jsou přehledně a ve srozumitelné formě zobrazena přístupová oprávnění, která mu již byla přidělena. Jednoduše si sám může požádat o změnu nastavených oprávnění, kdy požadavky zadávává výběrem z nabídky pro něj dostupných přístupů. Tyto přístupy jsou popsány v laicky pochopitelném tvaru a mohou k nim být doplněny další informace, které s výběrem pomohou (popis oprávnění, odkaz na správce apod.) Tím je značně sníženo riziko nesprávného zadání požadavku a následné zkrácení doby realizace požadavku.
Důležitou oblastí je bezpečnost a z toho vyplývající potřeba centralizované evidence přístupových oprávnění. Z pohledu bezpečnosti, a to nejenom interní, ale i z pohledu externích auditorů a různých státních i evropských regulativ je nutné, aby společnost mohla prokazatelně doložit, kdo mohl s daty manipulovat a kdo mu takovéto oprávnění schválil a následně i přidělil. Každý systém takovou evidenci vede, ale informace jsou roztříštěné v mnoha databázích a je obtížné poskytovat komplexní pohled přes více systémů.
Systémy identity managementu přináší mimo jiné i centralizovanou evidenci přístupových oprávnění a poskytují ucelený přehled o všech uživatelích v aplikacích. To umožňuje kontrolu a důsledné uplatňování firemních pravidel spojených s bezpečností dat. Identity Management systémy dále umožňují snazší uplatnění bezpečnostních standardů v praxi, např. rozdělení pravomocí tzv. „segregation of duty", které jsou jedním z klíčových požadavků SOX (Sarbanes-Oxley). Jednou z důležitých vlastností IdM systémů je i možnost porovnání evidovaného a skutečného stavu a tím i identifikaci možných rizik souvisejících s neoprávněnou manipulací s aplikacemi.
Shrnutí
Implementace systémů pro Identity Management není jen módní vlnou, ale hlavně nutností. Důkazem je celá řada úspěšných implementací v České republice, a to nejen ve finančním sektoru, pro které jsou takové systémy nezbytné, ale i prostředí telekomunikací, státní správy i průmyslu. Implementace těchto systémů není snadná a vyžaduje především komplexní znalost problematiky správy přístupových oprávnění a s ní spojených procesů. Nezbytnou součástí pro úspěšnou implementaci je i podpora realizačního projektu na úrovni vedení společnosti, neboť se jedná o systém, který má dopad na celou společnost a nejenom IT.
Na závěr shrnutí přínosů, které systémy Identity Managementu přinášejí pro jednotlivé kategorie uživatelů:
Z pohledu managementu
-
Úspora nákladů na správu přístupových oprávnění
- Snížení počtu volání na helpdesk
- Snížení počtu pracovníků pro správu přístupových oprávnění
- Snížení nákladů na školení uživatelů při zavádění nových systémů
- Snížení rizik zneužití informací
- Zavedení automatizace HR procesů spojených s nástupy, odchody a organizačními změnami
- Splnění auditních požadavků na bezpečnost dat
Z uživatelského pohledu
- Výrazné zkrácení doby realizace požadavku (požadavek je vyřízen během několika minut namísto několika dní při manuálním zpracování)
- Jednoduchá obsluha - uživatel si sám žádá o přístupová oprávnění, může si sám měnit hesla ke všem systémům z jednoho místa
- Přístup k informacím o předělených oprávněních
Z pohledu bezpečnosti
- Kontrola procesu přidělování a odebírání přístupových práv do aplikací (vždy je dohledatelné kdo o přístup požádal, kdo ho schválil a kdo ho kdy zrušil)
- Centrální evidence přidělených oprávnění (uživatel i nadřízený uživatele a další definovaní pracovníci mají přesný přehled o přidělených oprávněních)
- Vynucení firemních pravidel (systém kontroluje, zda přidělená oprávnění jsou na systémech korektně nastavena a případně detekovaného problému provede automatizovaně opravné kroky)
Z pohledu IT
- Jednotné rozhraní pro správu systémů
- Kontrola systémů zda požadovaný stav odpovídá skutečnému
- Snížení zátěže správců systému